最新対策を知る! 更新プログラム管理の要点 Windows Server Update Services 3.0 1-1 ユーザー管理 / クラゕント管理 マクロソフト株式会社 本資料は Microsoft Office PowerPoint 2007 で作成しています
はじめに 拝啓ますますご清祥のこととお慶び申し上げます また 平素より弊社製品をご愛顧頂き 誠にありがとうございます さて このたびは弊社 Windows Server Update Services 3.0() に関するご提案の機会を賜り 誠にありがとうございます の基本と でご利用の環境をよりセキュアに運用するためのソリューションをご紹介いたします 今日 急速に変化する社会環境において より多くの付加価値を生み出し組織の活動を支えるコンピューティングシステムにおいても より高い付加価値の創造 柔軟性 コスト削減が強く求められております 弊社がご提案させて頂くテクノロジ サービスはまさにこれらの課題を解決し 問題解決に貢献するものと確信しております つきましては何卒 本ご提案書の内容をご検討のうえ ご採用賜りますようよろしくお願い申し上げます 敬具 マイクロソフト株式会社
2 最新対策を知る! 更新プログラム管理の要点 更新プログラム管理の決め手 を解説! ソリューションメージマップ 更新プログラム管理 Active Directory 基盤 WAN ネットワーク帯域の削減を実現サーバー監視による安定稼働の実現 更新プログラム管理の基本 の概要と新機能 の構成 WSUS 2.0 から 3.0 への移行 の運用 更新プログラム管理の活用法 更新プログラム配布時の WAN ネットワーク帯域削減方法 サーバー監視による安定稼働と迅速な問題解決策の提供 ゕンチウルスソフトウェゕとの統合管理でセキュリテゖ強化 構築例 更新プログラム 一元管理 環境の構築例 P3 P4 P5 P6 P7 P8 P9 P10 ウルスパターンフゔル配布との統合 構築例
の概要と新機能 の特徴 - Microsoft Update が提供する更新プラグラム コンテンツを組織内に配布したり管理することができます - Windows Server 向け無償アドオンソフトウェアです - WSUS 2.0 から簡単にアップグレード可能で 従来のお客様にも安心してご利用いただけます 高度な管理製品へアップグレードが可能 - Microsoft System Center Configuration Manager 2007 - Microsoft System Center Essentials 2007 Microsoft Update からコンテンツを取得 概要 Microsoft Update グループポリシーでクライアント設定を一元管理 更新プログラムを管理して配布 簡単なアップグレード 高度な管理製品へアップグレード可能 アップグレードパス の新機能 簡単な操作 - シンプルな設定ウィザードの採用 - MMC ベースの管理コンソールを採用し より簡単に管理が可能 管理性の向上 - 電子メールによる通知 - PDF 出力などレポート機能の強化 拠点 の強化 - 下位 WSUS サーバーのレポートを上位 WSUS サーバーで統合可能 シンプルな設定ウィザード MMC ベースの管理コンソール 3
4 の構成 構成機能強化点 中央一元管理 分散管理 中央一元管理 - Microsoft Forefront Client Security Microsoft Windows Defender の定義ファイルが配布可能 ( 最短 1 時間の更新間隔 ) - 構成ウィザードの強化でより分かりやすく設定可能 - 下位 WSUS サーバーのレポートを上位 WSUS サーバーに集約可能 - 階層構造における下位の でコンテンツのダウンロード元を Microsoft Update に設定することが可能 は 2 つの階層構造をサポート分散管理は 拠点の管理者が更新プログラムの管理を担当 許可設定 低速な WAN からは 許可設定のみを同期 拠点のブロードバンド Microsoft Update からコンテンツをダウンロード 階層構成 低速 WAN 先の 構成例 ポリシー クライアントの各種設定は Active Directory のグループポリシーで一括設定 Active Directory がない場合は ローカルポリシーまたはレジストリで設定可能 クライアントの設定 インストール要件対応 OS Windows Server 2003 SP1 以降 Windows Server 2008 Windows XP SP2, Windows Vista ( 管理コンソール ) Internet Information Services 6.0 データベース Microsoft SQL Server 2005 SP1 または Windows 内部データベース (WSUS インストーラに付属 ) 必要なコンポーネント..NET Framework 2.0 MMC 3.0 Report Viewer 2005 クライアント要件対応 OS Windows 2000 SP4 Windows XP SP1 以降 (* 注 ) Windows Vista Windows Server 2003 初期出荷版以降 (* 注 ) Windows Server 2008 ( 注 ) Windows XP SP1 および Windows Server 2003 初期出荷版は サービスパックサポート期間を終了しております
5 WSUS 2.0 から 3.0 への移行 移行概要 - WSUS 2.0 SP1 からアップグレード可能 - Windows 2000 Server 上に はインストールできません Windows Server 2003 に をインストール後 WSUS 2.0 のコンテンツ 許可設定の移行が必要です データベース - WMSDE を利用している場合 Windows 内部データベースにアップグレード - SQL Server 2000 を利用している場合先に SQL Server 2005 SP1 へアップグレードしておく必要があります 階層構造の WSUS 2.0 がある場合 移行期間中 WSUS 2.0 と 3.0 の混在環境が可能です アップグレードは必ず上位 WSUS サーバーから行います 同期可能 WSUS 2.0 WSUS 2.0 同期不可 WSUS 2.0 と 3.0 の混在 階層構造の WSUS は必ず上位 WSUS から順番にアップグレードします WSUS 2.0 アップグレードの手順 移行方法 移行方法は直接アップグレードと移行アップグレードの 2 種類 直接アップグレード WSUS 2.0 と同じサーバー上で のアップグレードインストール 移行アップグレード を新しいサーバーにインストールして 古いサーバーから コンテンツと承認設定を移行 Windows 2000 Server に WSUS 2.0 をインストールしている場合 移行アップグレードを利用 設定 更新プログラム および承認状態が保持されますカスタマイズされた IIS の設定は アップグレード後に再適用する必要があります ( ポート SSL ホストヘッダ ) 自動更新クライアントは クライアントが次回の同期時 自動的にアップグレードされます 直接アップグレード 新しいサーバーに をインストールコンテンツ 承認設定を移行承認設定の移行は 2 つのツールを利用 - WsusMigrationExport.exe - WsusMigrationImort.exe グループポリシーを新しいサーバーに変更しクライアントを新しいサーバーに接続自動更新クライアントは クライアントが次回の同期時 自動的にアップグレードされます 移行アップグレード
6 の運用 運用面の機能強化 - MMC 3.0 を採用し 管理がより簡単に - 複数の WSUS サーバーを 1 つの MMC コンソールで管理可能 - 階層構造の WSUS サーバーのレポートを上位 WSUS サーバーへ集約し組織内の状態を一括把握可能 - レポート機能を強化 PDF や Microsoft Office Excel での出力が可能 - クリーンナップウィザードが標準添付データベースの清掃がより簡単に - Microsoft System Center Operations Manager 管理パックの提供により高度な監視が可能 1 つの MMC 管理コンソールから複数の WSUS サーバーの管理が可能 複数 WSUS サーバーの管理 承認設定の種類 - インストールの承認 - 未承認 - 拒否 更新プログラムの承認 定期的に実行し 丌要なデータを削除データベースの健全性をウィザードで簡単に維持 階層構造の WSUS サーバーの下位 WSUS サーバーレポートを上位 WSUS サーバーに集約 レポートを集約 ( ロールアップ ) Excel 出力例 PDF や Excel へレポートを出力可能 削除項目 - 丌要な更新および 30 日間以上承認されていない古いリビジョンの更新 - 30 日以上アクセスしていないコンピュータ - 期限切れの更新 - 置き換えられた更新 クリーンナップウィザード
7 更新プログラム配布時の WAN ネットワーク帯域削減方法 WAN を圧迫しないためには? 拠点への更新プログラム配布を WAN 帯域にできるだけ影響を不えず配布することは管理者の共通の悩みです と組み合わせて使える WAN 帯域の使用率削減方法を 2 つご紹介します Microsoft Internet Security and Acceleration Server 2006 (ISA Server) のプロキシ 動的コンテンツである更新プログラムをキャッシュする ISA Server の機能を活用し WAN 帯域の圧迫を回避できます ISA Server がないとき WAN 帯域は更新プログラムのダウンロードで圧迫されます 拠点 ISA Server がないとき ISA Server があるとき WAN 帯域は ISA Server のキャッシュにより圧迫されません ISA Server 拠点 ISA Server プロキシ 更新プログラムは動的コンテンツのため 通常のプロキシではキャッシュできません ピアキャッシング - ピアキャッシングとは Windows Vista でキャッシュとして保持している更新プログラムを近く ( 同一セグメント ) の Windows Vista が利用し WAN の帯域を削減するための新技術です - Active Directory 環境で利用可能です - クライアントの設定はグループポリシーで管理します ポリシーで設定可能な項目 - 使用するネットワーク帯域 - 保持するキャッシュのサイズ - キャッシュを保持する期間 ( 既定値 : 14 日間 ) Vista ピアキャッシングがないとき WAN 帯域は更新プログラムのダウンロードで圧迫されます 拠点 ピアキャッシングがないとき Vista ピアキャッシングがあるとき WAN 帯域は更新プログラムのダウンロードで圧迫されません Active Directory 拠点 Windows Vista ピアキャッシング
8 サーバー監視による安定稼働と迅速な問題解決策の提供 安定稼働を実現 System Center Operations Manager 2007 (Ops Mgr 2007) で Windows 環境を一括監視 Ops Mgr 2007 の管理コンソールで一括監視 管理パックはマイクロソフト開発チームのナレッジが詰まった監視ノウハウ集 イベントログの意味 監視ルール 監視に使うコマンド集 ( タスク ) これからは も Active Directory も ISA Server (*) も別々にイベントビューアを確認する必要はありません 監視は すべて Ops Mgr 2007 の管理コンソールから行えます (*) 対応管理パックは順次 Web 上で公開されます イベントログ パフォーマンスデータを Ops Mgr 2007 で収集 Active Directory ISA Server Ops Mgr 2007 で安定稼働を実現 Ops Mgr 2007 報告されたデータを管理パックに基づき監視 最大の特徴管理パック 管理コンソールよりサービス単位で監視し 障害が発生した時点で どのコンポーネントに発生しているのか即座に分析が可能 トラブルシューティングにかかる時間を大幅に短縮します サービス単位で監視
8 アンチウイルスソフトウェアとの統合管理でセキュリティ強化 本当のセキュリティ強化を実現 家のセキュリティに例えると 更新プログラムはドアの鍵の更新 アンチウイルスは セキュリティ会社との契約 脆弱性は家の戸締まりのようなもの セキュリティに気を付けても 戸締まりをしないといった丌注意があると 本来のセキュリティ機能が意味をなしません を利用する Forefront Client Security で更新プログラム 定義ファイル 脆弱性をセットで管理することができます セットで管理することで 本当のセキュリティ強化を実現していただけます マイクロソフトサポート窓口 - 定義ファイル - 更新プログラムなど サポート窓口を一元化 世界共通の取り組み ウイルス解析センター米国 アイルランド 日本 各国の専門機関 警察 インターポール等 マイクロソフト 日本独自の取り組み ウイルス解析センター日本 経済産業省 総務省 Cyber Clean Center 世界中の利用者 Microsoft Update Hotmail Windows Defender Live OneCare 定義ファイルへ反映 信頼性 定義ファイルへの取り組み Microsoft Update 定義ファイルと更新プログラムをダウンロード Forefront Client Security はクライアントの脆弱性のチェックが可能 - 丌要なサービス - 共有の設定 - 無期限パスワード 脆弱性のチェック Active Directory Forefront 管理 レポートサーバー + Forefront でセキュアに 定義ファイルの配信と管理 更新プログラムの配信と管理 脆弱性のチェックも可能 主な分析項目 - ポリシーの展開率は? - 現存する脆弱性は? - マルウェア検出状況は? - 長期間管理されていない危険なコンピュータは? 豊富なレポートで状態を確認
9 更新プログラム 一元管理 環境の構築例 構築環境の前提 PC 台数 500 台 Active Directory 構築済み Windows Server 2003 CAL を購入済み 本社 支社 営業所の計 3 拠点 * WSUS ISA Server は冗長化構成を取ることも可能ですが 本構成図と参考価格は冗長化構成を取っておりません 4 つの対策ができる! オススメ構成 - 更新プログラムの一元管理 - サーバー監視 - WAN 帯域削減 - アンチウイルスと脆弱性対策 支社 Active Directory ISA Server Ops Mgr 2007 本社 営業所 * Forefront 管理レポートサーバー 構成図 * 営業所は Windows Vista を導入しピアキャッシング機能を利用 ライセンス参考価格本構成の前提条件 : ハードウェア SI 費用 Active Directory 構築費用 Windows Server CAL は含まれておりません - 記載の価格は参考価格です (2007 年 9 月現在 ) - ISA Server はプロセッサライセンスです - 参考価格は Select 契約の価格レベル A の新規ライセンス (L) で算出しております - お客様の実際のお支払額は お客様の直接のご発注先である LAR 様 販売会社様との間で決定されます Select のご利用は別途ご契約が必要になります - Forefront Client Security は サブスクリプションのご提供になります 年額もしくはライセンス契約期間のご提供になります - with SQL Server は SQL Server 付きライセンス参考価格です Windows Server 2003 Standard Edition x 4 82,200- x 4 = 328,800- Ops Mgr 2007 Server with SQL Server ライセンス x 1 159,100- x 1 = 159,100- エンタープライズ OML x 3 51,900- x 3 = 155,700- ISA Server 2006 Standard Edition x 1 157,600- x 1 = 157,600- Forefront Client Security を除く合計 = 801,200- (Forefront を除く ) ライセンス参考価格 Forefront Client Security Management Console with SQL Server ( 262,800- / 年額 ) x 1 = 262,800- Forefront Client Security サブスクリプション x 500 ( 1,356- / 年額 ) x 500 = 678,000- Forefront Client Security 年額分合計 = 940,800- Forefront 年額ライセンス参考価格
製品に関する詳細な情報は 弊社 Web サト http://www.microsoft.com/japan/windowsserversystem/updateservices/ http://www.microsoft.com/japan/technet/windowsserver/wsus/30/ または担当営業までお問い合わせください 本書は情報提供のみを目的としており 本書の内容について Microsoft は 明示的あるいは非明示的ないかなる保証もいたしません 本書に記載した情報は 将来予告なしに変更することがあります 本書を使用する場合の全体的なリスクまたは本書の使用による結果について Microsoft はいかなる責務も負うものではありません 本書に記載されている会社 組織 製品 人物 ベントの例は架空のものです 実在の会社 組織 製品 人物 またはベントとの関連を示唆するものではありません 適用可能な著作権方法すべてにお客様は準拠する必要があります 著作権上の権利に限定されることなく 本書の一部または全部を無断で使用 複製することはできません Microsoft Microsoft ロゴ Active Directory Excel Forefront Hotmail OneCare PowerPoint Windows Windows Server Windows Vista は 米国 Microsoft Corporation およびその他の国における登録商標または商標です その他の製品名と会社名は 各企業の登録商標または商標である場合があります 081002-01